Michael Gariffo Staff Writer
Michael er en erfaren teknologiskribent som har dekket forretnings- og forbrukerfokusert maskinvare og programvare i over et tiår.
Full Bio 15. desember 2021 | Emne: Sikkerhet
Det amerikanske departementet for innenlandssikkerhet lanserer sitt eget program for bug-bounty for å hjelpe med å finne og rette opp hull i systemene.
Det nye “Hack DHS”-programmet ble gjort offisielt av Homeland Security Secretary Alejandro Mayorkas i en pressemelding på byråets nettside etter at det ble avslørt på det nylige Bloomberg Technology Summit og dekket av The Record. Programmet lover å betale ut mellom $500 og $5000 til “godkjente cybersikkerhetsforskere som har blitt invitert til å få tilgang til utvalgte eksterne DISH-systemer.” Den faktiske utbetalingen vil være basert på alvorlighetsgraden av den spesifikke sårbarheten som oppdages.
Som bemerket av DHS, bygger dette nye dusørprogrammet på lignende innsats fra privat sektor og «Hack the Pentagon», et første i sitt slag-program som ble lansert i 2016 som til syvende og sist var ansvarlig for å identifisere over 100 sårbarheter på tvers av ulike forsvarsdepartementets eiendeler. DHS opprettet selv et lignende pilotprogram i 2019 på baksiden av et lovforslag om to partier. Det fulgte relatert innsats fra forsvarsdepartementet, luftvåpenet og hæren.
“Hack DHS-programmet oppmuntrer svært dyktige hackere til å identifisere cybersikkerhetssvakheter i systemene våre før de kan utnyttes av dårlige aktører,” bemerket Mayorkas.
Innsatsen vil omfatte tre faser som vil pågå gjennom hele FY 2022. I den første fasen vil hackere bli bedt om å gjennomføre “virtuell vurdering” på utvalgte DHS-systemer. Dette vil bli fulgt av en “live, in-person hacking-hendelse” under fase to, og en identifiserings- og gjennomgangsprosess i den tredje og siste fasen.
DHS bemerket at det vil bruke dataene som samles inn under denne prosessen til både å planlegge for fremtidige feilbelønninger, og for å utvikle “en modell som kan brukes av andre organisasjoner på tvers av alle myndighetsnivåer for å øke sine egne cybersikkerhetsmotstand.”
I likhet med tidligere myndighetsprogrammer av lignende karakter, vil dette være styrt av regler orkestrert av DHS' Cybersecurity and Infrastructure Security Agency (CISA), med alle deltakere pålagt å avsløre all informasjon som kan være nyttig for å redusere og rette opp sårbarhetene de oppdage.
Håpet for programmer som dette er å privat oppdage og lappe hull uten å stole på eksterne sikkerhetsforskere eller tilfeldige oppdagere for å gjøre det omhyggelige og informere leverandøren/byrået før du slipper en sårbarhet ut i naturen. Denne innsatsen vises spesielt betimelig i en verden der myndigheter, bedrifter og omtrent alle som eier en datamaskin fortsetter å håndtere konsekvensene fra selve offentlig avsløring og rask utnyttelse av Log4j-sårbarheten.
Fremhevet
Log4j-trussel: Hva du trenger å vite og hvordan du kan beskytte deg selv 2022: En stor revolusjon innen robotikk Covid-testing: De beste hurtigtestsettene hjemme Det beste teknologiske produkter fra 2021 Security TV | Databehandling | CXO | Datasentre